Theo công ty an ninh mạng Bitsight, các nhà phát triển của mạng botnet RondoDox đã tăng đáng kể danh sách các lỗ hổng khai thác và đang áp dụng phương pháp khai thác có mục tiêu hơn.
Lần đầu tiên được đề cập chi tiết vào nửa cuối năm ngoái, RondoDox đã hoạt động ít nhất kể từ tháng 3/2025, khi các nhà nghiên cứu bảo mật quan sát thấy những nỗ lực khai thác đầu tiên liên quan đến botnet này.
Từ tháng 4/2025, những kẻ điều hành RondoDox đã tiến hành chiến dịch rà quét lỗ hổng bảo mật một cách có hệ thống để xâm nhập các thiết bị. Đến tháng 10, nhóm này nhắm mục tiêu vào 56 lỗ hổng, bao gồm cả những lỗ hổng chưa được gán mã CVE. Sau đó vào tháng 12, nhiều báo cáo cho thấy RondoDox nhắm mục tiêu vào React2Shell.
Hiện tại, Bitsight cho biết danh sách các lỗ hổng mà mạng botnet này khai thác đã được mở rộng lên 174 lỗ hổng khác nhau, khi các nhà phát triển của nó đang theo sát các thông báo về lỗ hổng, nhắm mục tiêu vào các lỗi trước khi mã CVE được gán.
Hơn nữa, RondoDox đã chuyển chiến lược khai thác của mình sang phương pháp có mục tiêu hơn. Giờ đây chúng tập trung vào các điểm yếu cụ thể có nhiều khả năng dẫn đến lây nhiễm.
RondoDox có nhiều điểm tương đồng với Mirai, cũng nổi tiếng với việc nhắm mục tiêu vào thông tin đăng nhập yếu và dữ liệu đầu vào chưa được kiểm tra kỹ để truy cập ban đầu. Điều làm nên sự khác biệt giữa RondoDox và Mirai là nó tập trung vào việc phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS) thay vì rà quét và lây nhiễm thêm các thiết bị khác.
Cuộc điều tra của Bitsight về mạng botnet đã tiết lộ việc sử dụng hơn 20 địa chỉ IP để khai thác thiết bị, phân phối phần mềm độc hại và quản lý bot, bao gồm cả các địa chỉ IP dân dụng có khả năng thuộc về các hệ thống bị xâm nhập.
“Khi xem xét tần suất sử dụng từng lỗ hổng, một xu hướng phân bố dài hạn rõ ràng xuất hiện. Trong khi trung bình mỗi lỗ hổng được sử dụng trong 18 ngày, gần một nửa trong số 174 lỗ hổng được xác định (84, tương đương 48%) đã bị khai thác chỉ trong một ngày. Điều này cho thấy các tin tặc thử nghiệm các lỗ hổng và hành động dựa trên tỷ lệ khai thác thành công của từng lỗ hổng” Bitsight nhận định.
Theo công ty an ninh mạng, những kẻ điều hành mạng botnet dường như đang theo dõi sát sao các thông tin liên quan đến lỗ hổng bảo mật, vì trong ít nhất một trường hợp, chúng đã khai thác lỗ hổng bảo mật hai ngày trước khi thông báo được công bố rộng rãi.
Theo Bitsight, mặc dù luôn cập nhật các lỗ hổng mới, nhưng các cuộc tấn công của RondoDox lại không triển khai đúng cách các phương pháp khai thác hiện có. Các nhà nghiên cứu lưu ý rằng mạng botnet này dường như không sử dụng dịch vụ loader-as-a-service để phân phối, đồng thời nhấn mạnh các báo cáo trước đây về chức năng P2P trong RondoDox dường như không chính xác.